Utgångspunkterna för denna studie har varit att undersöka hur man kan gå tillväga för att identifiera ett antal DDoS- och DRDoS-attacker utifrån information tillgänglig i ett antal pcap-filer, hur skalningen för reflektionsattacker ter sig samt hur innehållet i DNS och NTP databaser påverkar skalningen av attackerna. Vidare var även syftet att granska hur DDoS-attackerna skiljer sig från ett legitimt svar, en legitim begäran eller annan legitim trafik och därför kan klassas som skadlig trafik och hur detta kan vara ett problem när skydd eller liknande implementeras.
Vi har utfört och analyserat olika DDoS- och DRDoS- attacker som fångats i pcap-filer.
Pcap-filerna har fångats på alla datorerna i nätverket för att kunna visa skillnader mellan de olika anhalterna i attackerna. Pcap-filerna har analyserats genom att titta på summering och statistik över trafik samt spikar i trafiken som nått fram. Attackerna har sedan identifieras genom undersökning av headern, storleken på paketet samt
payloaden. När detta skall göras underlättar det om personen i fråga har förståelse för tjänster som körs i nätverket och hur dessa fungerar för att lättare kunna sålla i
innehållet.
Undersökning har visat hur resurserna på servrar som utnyttjas i attacker vilka
använder reflektorer förändrar skalningen. Vi har där kunnat se hur förstärkningen av attackerna förändrats i takt med att exempelvis mängden poster ändrats på servern och hur kraftig förstärkningen blivit.
För DNS mäktades en förstärkning på ca 80 gånger när antalet poster uppgick till 182 stycken, detta skulle potentiellt kunna ökas ifall utrymmet för edns0 ökas.
Förstärkningen för NTP är däremot betydligt kraftigare, förstärkningen uppgår som max till 6000 gånger, vad som dock är av stort intresse är att om det bara finns sex stycken synkroniserade klienter med servern så uppgår förstärkningen till 55.
Undersökningsresultaten påvisar att kraftiga attacker kan utföras med hjälp av ett antal vanliga servrar, resultaten visar även på att det inte krävs en stor mängd synkroniserade datorer eller poster i en foward zone för att uppnå en acceptabel förstärkning ur
angriparens synvinkel.
Studien har visat på likheter mellan de olika attackerna så som kravet på spoofing av källadressen, hur destinationsporten behöver formateras, hur källporten behöver formateras och hur källan för attacken upplevs för den angripne. Även attacker som ser exakt legitima ut har identifierats så väl som attacker med små förändringar vilka kan märkas på servern vilken agerar reflektor, exempelvis padding i NTP-förfrågningen.
Men även hur det ofta är payloaden, data-delen, eller headern som utmärker falska paket. Speciellt HTTP och DNS bör pekas ut eftersom de paket som utnyttjas i experimenten är exakta mot hur en legitim förfrågan ser ut.
Om dessa insamlade resultat beaktas så tyder det på att det blir svårt att utföra automatisk identifiering av attacker utan att påverka legitim trafik av samma sort eftersom stor likhet finns.
39
Med hänsyn till resultaten kan det konstateras att kraven på härdning av
nätverksinfrastruktur eller tjänster på servrar krävs för att kunna rätta till problemen med olika sorters DDoS- och DRDoS-attacker.
40
Referenser
[1] "Privatpersoners Användning Av Datorer Och Internet 2013."
SCB.StatistiskaCentralbyrån, 16 Jan. 2014. Web. 11 Feb. 2014.
http://www.scb.se/Statistik/_Publikationer/LE0108_2013A01_BR_IT01BR1401.pdf [2] Wu, Zhijun, Chen Wang, and Hualong Zeng. "Research on the Comparison of Flood DDoS and Low-rate DDoS." Multimedia Technology (ICMT), 2011 International
Conference on (2011): 5503-506. Print.
[3] Xie, Yi, and Shun-Zheng Yu. "Monitoring the Application-Layer DDoS Attacks for Popular Websites."IEEE/ACM Transactions on Networking 17.1 (2009): 15-25. Print.
[4] "Spoofer Project: State of IP Spoofing." Spoofer Project: State of IP Spoofing. Center for Measurement and Analysis of Network Data, n.d. Web. 09 May 2014.
http://spoofer.cmand.org/summary.php
[5] Wang, Jie, Raphael C.W Phan, John N. Whitley, and David J. Parish. "DDoS Attacks Traffic and Flash Crowds Traffic Simulation with a Hardware Test Center Platform.
"Internet Security (WorldCIS), 2011 World Congress on (IEEE) (2011): 15-20. Print.
[6] Sachdeva, Monika, Gurvinder Singh, and Krishan Kumar. "An Emulation Based Impact Analysis of DDoS Attacks on Web Services during Flash Events." International Conference on Computer & Communication Technology (ICCCT) (2011): 479-84. Print.
[7] Hussain, Alefiya, John Heidemann, and Christos Papadopoulos. "A Framework for Classifying Denial of Service Attacks."SIGCOMM '03 Proceedings of the 2003 Conference on Applications, Technologies, Architectures, and Protocols for Computer Communications (2003): 99-110. Print.
[8] Sachdeva, Monika, Krishan Kumar, Gurvinder Singh, and Kuldip Singh. "Performance Analysis of Web Service under DDoS Attacks."Advance Computing Conference, 2009.IACC 2009. IEEE International (2009): 1002-007. Print.
[9] Wu, Qishi, Sajjan Shiva, Sankardas Roy, Charles Ellis, and Vivek Datla. "On Modeling and Simulation of Game Theory-based Defense Mechanisms against DoS and DDoS Attacks."SpringSim '10 Proceedings of the 2010 Spring Simulation Multiconference (2010): n. pag. Print.
[10] Xiao, Bin, Wei Chen, and Yanxiang He. "A Novel Approach to Detecting DDoS Attacks at an Early Stage."The Journal of Supercomputing 36.3 (2006): 235-48. Print.
[11]Chandola, Varun, ArindamBanerjee, and Vipin Kumar. "Anomaly Detection: A Survey." ACM Computing Surveys 41.3 (2009): n. pag. Web.
[12] García-Teodoro, P., J. Diaz-Verdejo, G. Maciá-Fernández, and E. Vázquez. "Anomaly-based Network Intrusion Detection: Techniques, Systems and Challenges." Computers &
Security 28.1-2 (2009): 18-28. Web.
41
[13] Aydın, M. Ali, A. Halim Zaim, and K. Gökhan Ceylan. "A Hybrid Intrusion Detection System Design for Computer Network Security."Computers & Electrical Engineering 35.3 (2009): 517-26. Print.
[14] Mirkovic, Jelena, and Peter Reiher. "A Taxonomy of DDoS Attack and DDoS Defense Mechanisms." ACM SIGCOMM Computer Communication Review 34.2 (2004): 39-54.
Print.
[15] Yu, Shui, Wanlei Zhou, Weijia Jia, Song Guo, Yong Xiang, and Feilong Tang.
"Discriminating DDoS Attacks from Flash Crowds Using Flow Correlation Coefficient."
IEEE Transactions on Parallel and Distributed Systems 23 (2012): 1073-080. Print.
[16] Gupta, B.B., Manoj Misra, and R.C. Joshi. "An ISP Level Solution to Combat DDoS Attacks Using Combined Statistical Based Approach." Journal of Information Assurance and Security 2 (2008): 102-10. Web.
[17]Thapngam, Theerasa, Shu Yu, Wanlei Zhou, and Gleb Beliakov. "Discriminating DDoS Attack Traffic from Flash Crowd through Packet Arrival Patterns."The First International Workshop on Security in Computers, Networking and Communications (2011): 952-57.
Web.
[18] Mills, David L. "Network Time Protocol (Version 3) Specification, Implementation and Analysis." Network Working Group (1992): n. pag. Web.
[19] "Vulnerability Note VU#348126." NTP Can Be Abused to Amplify Denial-of-service Attack Traffic. Cert.org ,n.d. Web. 04 Apr. 2014. http://www.kb.cert.org/vuls/id/348126 [20] Rossow, Christian. "Amplification Hell: Revisiting Network Protocols for DDoS Abuse." Network and Distributed System Security Symposium (2014): n. pag. Web.
[21] Peng, Tao, Christopher Leckie, and Kotagiri Ramamohanarao. "Survey of Network-based Defense Mechanisms Countering the DoS and DDoS Problems."ACM Computing Surveys 39.1 (2007): 3-Es. Print.
[22] Postel, Jon. “2 Philosophy" RFC 793: Transmission Control Protocol (1981): n.
pag.Web.
[23] "Fundamental Networks." IT Essentials: PC Hardware and Software Companion Guide. Fourth ed. Indianapolis: Cisco, 2011. 277-344. Print.
[24] Postel, Jon. “3.4 Establishing a connection" RFC 793: Transmission Control Protocol (1981): n. pag.Web.
[25] Wang, Haining, Danlu Zhang, and Kang G. Shin. "Detecting SYN Flooding
Attacks."INFOCOM 2002. Twenty-First Annual Joint Conference of the IEEE Computer and Communications Societies. Proceedings. IEEE (2002): 1530-539. Web.
[26] Mittal, Akash, Ajit Kumar Shrivastava, and Manish Manoria. "A Review of DDOS Attack and Its Countermeasures in TCP Based Networks." International Journal of Computer Science & Engineering Survey 2.4 (2011): 177-87. Print.
42
[27] Schuba, Christoph L., Ivan V. Krsul, Markus G. Kuhn, Eugene H. Spafford, Aurobindo Sundaram, and Diego Zamboni. "Analysis of a Denial of Service Attack on TCP."Security and Privacy, 1997.Proceedings., 1997 IEEE Symposium on (1997): 208-23. Web.
[28] Fielding, R., J. Gettys, J. Mogul, H. Frystyk, L. Masinter, P. Leach, and T. Berners-Lee.
"1.1 Purpose” RFC 2616: Hypertext Transfer Protocol-http/1.1 (1999): n. pag. Web.
[29] Fielding, R., J. Gettys, J. Mogul, H. Frystyk, L. Masinter, P. Leach, and T. Berners-Lee.
"9.3 GET” RFC 2616: Hypertext Transfer Protocol-http/1.1 (1999): n. pag.Web.
[30] Fielding, R., J. Gettys, J. Mogul, H. Frystyk, L. Masinter, P. Leach, and T. Berners-Lee.
"5 Request” RFC 2616: Hypertext Transfer Protocol-http/1.1 (1999): n. pag. Web.
[31] Das, Debasish, Utpal Sharma, and D. K. Bhattacharyya. "Detection of HTTP Flooding Attacks in Multiple Scenarios."ICCCS '11 Proceedings of the 2011 International Conference on Communication, Computing & Security (2011): 517-22. Web.
[32] Holz, Thorsten, and Herbert Bos. "Detection of Intrusions and Malware and Vulnerability Assessment."8th International Conference, DIMVA 2011 Amsterdam, The Netherlands, July 7-8, 2011 Proceedings (2011): n. pag. Web.
[33] Kambourakis, Georgios, TassosMoschos, DimitrisGeneiatakis, and StefanosGritzalis.
"A Fair Solution to DNS Amplification Attacks."Digital Forensics and Incident Analysis, 2007.WDFIA 2007. Second International Workshop on 2007 (n.d.): 38-47. Web.
[34] Handley, M. "Why the Internet Only Just Works." BT Technology Journal 24.3 (2006): 119-29. Print.
[35] Mirkovic, J., A. Hussain, S. Fahmy, P. Reiher, and R.k. Thomas. "Accurately Measuring Denial of Service in Simulation and Testbed Experiments."IEEE Transactions on
Dependable and Secure Computing 6.2 (2009): 81-95. Print.
[36] Goel, Aaruni. "A Comparative Approach to Handle Ddos Attacks."IOSR Journal of Computer Engineering 12.4 (2013): 57-62. Print.
[37] Douligeris, Christos, and AikateriniMitrokotsa. "DDoS Attacks and Defense
Mechanisms: Classification and State-of-the-art." Computer Networks 44.5 (2004): 643-66. Web.
[38] Postel, Jon. "User Datagram Protocol."RFC 768 (1980): n. pag. Web.
[39] "February 2014 Web Server Survey." Internet Research, Anti-Phishing and PCI Security Services.Netcraft LTD, 3 Feb. 2014. Web. 15 Apr. 2014.
http://news.netcraft.com/archives/2014/02/03/february-2014-web-server-survey.html
[40] "Wireshark.org." Wireshark · Go Deep.Wireshark Foundation, n.d. Web. 15 Apr.
2014. http://www.wireshark.org
[41]Biondi, Philippe. "Scapy." Scapy.N.p., n.d. Web. 15 Apr. 2014.
http://www.secdev.org/projects/scapy
43
[42] Mills, David L. "Ntpd - Network Time Protocol (NTP) Daemon." Ntpd - Network Time Protocol (NTP) Daemon.Ntp.org, n.d. Web. 16 Apr. 2014.
http://doc.ntp.org/4.1.0/ntpd.htm
[43] "DNS, BIND, DHCP, LDAP and Directory Services." Http://www.bind9.org/.
BIND9.org, n.d. Web. 16 Apr. 2014. http://www.bind9.org
[44]DaRkReD. "Vpnguy/ntpdos." GitHub. N.p., n.d. Web. 16 Apr. 2014.
https://github.com/vpnguy/ntpdos
[45] Woolley, James. "SYN Flooding with Scapy and Python."Jamesdotcom.N.p., n.d. Web.
16 Apr. 2014. http://jamesdotcom.com/?p=264
[46] Damas, Joao, Michael Graff, and Paul Vixie. "Extension Mechanisms for DNS (EDNS(0))." Draft-ietf-dnsext-rfc2671bis-edns0-07 - Extension Mechanisms for DNS (EDNS(0)). N.p., 18 Jan. 2012. Web. 19 Apr. 2014.
[47] Justitiedepartementet. "Angrepp Mot Informationssystem." Angrepp Mot Informationssystem. Regeringen, 10 Mar. 2005. Web. 11 May 2014.
http://www.regeringen.se/content/1/c6/04/02/54/9fa5908b.pdf
[48] "Open Resolver Project." Open Resolver Project. N.p., n.d. Web. 11 May 2014.
http://www.openresolverproject.org/
[49] Risk, Vicky. "BIND 9.10 – A New Branch." Internet Systems Consortium. Internet Systems Consortium, 30 Apr. 2014. Web. 11 May 2014. http://www.isc.org/blogs/bind-9-10-a-new-branch/
[50] Takeda, Yuto, YasuoMusashi, Kenichi Sugitani, and Toshiyuki Moriyama. "DNS ANY Request Cannon Activity in DNS Query Packet Traffic."Internatiol Journal of Intelligent Engineering& Systems 7 (2014): 8-15. Web. 11 May 2014.
[51] Jeyanthi, N., J. Vinithra, S. Sneha, R. Thandeeswaran, and N.C.S.N Iyengar. "A Recurrence Quantification Analytical Approach to Detect DDoS Attacks." International Conference on Computational Intelligence and Communication Systems (2011): 58-62.
Web. 11 May 2014.
44